Persoonlijke en medische gegevens van tienduizenden mensen blijkt via een slecht beveiligde database eenvoudig toegankelijk geweest te zijn. Het gaat om klanten van het bedrijf U-Diagnostics dat onder andere toeristen, militairen, sportmensen en huisartsen test op corona. Het datalek werd ontdekt door Nieuwsuur.

De gevoelige gegevens werden gedeeld in een WhatsApp-groep met 300 leden en waren toegankelijk via een slecht beveiligde database. Het gaat onder andere om klanten van TUI en Corendon, personeel van Ahold, spelers van FC Utrecht, huisartsenpraktijken en zorginstellingen. Ook uit te zenden militairen worden getest bij U-Diagnostics. Daarbij worden gegevens als geboortedata, paspoortnummers, BSN-nummers, e-mailadressen, reisbestemmingen en testuitslagen vastgelegd en die waren volgens Nieuwsuur op eenvoudige wijze in te zien door derden. Die kunnen de gegevens misbruiken voor identiteitsfraude.

Privacywetgeving
U-Diagnostics werd op de hoogte gesteld voordat het nieuws naar buiten werd gebracht. Het bedrijf meent echter niet de privacywetgeving te overtreden, omdat in de WhatsApp-groep alleen medewerkers zitten. Wel heeft het bedrijf de database extra beveiligd, zodat die niet langer eenvoudig toegankelijk is voor buitenstaanders.
U-Diagnostics is een grote commerciële coronatester die door het hele land testlocaties heeft onder de merknaam Health Check Centre. Er zouden duizenden mensen per dag worden getest. Het bedrijf gebruikt een WhatsApp-groep als helpdesk voor medewerkers. Daarin worden persoonlijke en medische gegevens van geteste personen uitgewisseld, die door alle medewerkers bekeken kunnen worden. Dat geldt ook voor foto’s van paspoorten, rekeningafschriften en afgenomen tests en testuitslagen.

Slechte beveiliging
Volgens hoogleraar gezondheidsrecht Jaap Sijmons gaat het om medische informatie en die mag volgens hem niet in groepen worden gedeeld. Alleen personen die direct betrokken zijn bij de behandeling mogen informatie van een specifieke patiënt bekijken. De WhatsApp-groep wordt volgens Nieuwsuur ook gebruikt om wachtwoorden op te vragen om in het systeem te komen. De database van U-Diagnostics bleek vervolgens toegankelijk zonder extra beveiliging, zoals tweestapsverificatie. Nieuwsuur vond in de database gegevens van tienduizenden op corona geteste personen, waaronder dus militairen en het land waar deze naar toe zijn gaan. Interessant voor buitenlandse inlichtingendiensten, aldus militair historicus Christ Klep. Het ging onder andere om militairen van de First Combat Group van het Korps Mariniers.

AVG
Volgens directeur Maarten Cuppen van U-Diagnostics hoeven klanten zich geen zorgen te maken. Hij zegt dat zijn platform conform de AVG is ingericht. Daar is hoogleraar ICT & Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit het niet mee eens. Volgens hem moet er bij gevoelige databases altijd met een persoonlijke inlog en tweestapsauthenticatie worden gewerkt. Ook Defensie maakt zich zorgen. Er zijn experts naar U-Diagnostics gestuurd om de zaak nader te onderzoeken. Ook is melding gedaan bij de Autoriteit Persoonsgegevens en is het testen bij het bedrijf per direct opgeschort